小編給大家分享一下Ecshop pages.lbi.php Xss漏洞怎么修復(fù)，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項(xiàng)目有：域名注冊、虛擬主機(jī)、營銷軟件、網(wǎng)站建設(shè)、王屋網(wǎng)站維護(hù)、網(wǎng)站推廣。

前段時間在用ecshop建站的時候，360報警說出現(xiàn)了嚴(yán)重的漏洞：

Ecshop pages.lbi.php Xss漏洞

==============================我是分割線==================================

• 描述：

• 目標(biāo)存在跨站腳本***。

  1.跨站腳本***就是指惡意***者向網(wǎng)頁中插入一段惡意代碼，當(dāng)用戶瀏覽該網(wǎng)頁時，嵌入到網(wǎng)頁中的惡意代碼就會被執(zhí)行。一般用來盜取瀏覽器cookie

  + 展開

• 危害：

• 惡意用戶可以使用該漏洞來盜取用戶賬戶信息、模擬其他用戶身份登錄，更甚至可以修改網(wǎng)頁呈現(xiàn)給其他用戶的內(nèi)容。

• 解決方案：

• 臨時解決方案：

  1.使用360防護(hù)腳本

• ==========================我是分割線=================================

于是用360防護(hù)腳本，但沒起到任何作用。于是只好自己動手。

先來分析這個漏洞的原因：

直接訪問temp/compiled/pages.lbi.php時，瀏覽源文件，會發(fā)現(xiàn)如下代碼：

<form name="selectPageForm" action="temp/compiled/pages.lbi.php" method="get">

顯然這個form是不完全的。當(dāng)構(gòu)造這樣的url訪問時，會造成在客戶端執(zhí)行代碼：

temp/compiled/pages.lbi.php/"</form><sCripT>alert(/cfreer/)</scRipt>

很顯然，這個漏洞的原理就是閉合了這個form再在客戶端執(zhí)行javascript.

然后分析出現(xiàn)不閉合form的原因，打開page.lbi.php文件，可以看到如下代碼

<form name="selectPageForm" action="<?php echo $_SERVER['PHP_SELF']; ?>" method="get"> <?php if ($this->_var['pager']['styleid'] == 0): ?>

這里執(zhí)行$this的時候就出現(xiàn)錯誤了，因?yàn)闆]有進(jìn)行template的初始化。

既然找到原因了，下面給出解決辦法：

打開page.lbi文件，在第二行插入如下代碼：

<?php if (!defined('IN_ECS')) {     die('Hacking attempt'); } ?>

再次測試，一切正常。

以上是“Ecshop pages.lbi.php Xss漏洞怎么修復(fù)”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對大家有所幫助，如果還想學(xué)習(xí)更多知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

分享文章：Ecshoppages.lbi.phpXss漏洞怎么修復(fù)-創(chuàng)新互聯(lián)
轉(zhuǎn)載注明：http://chinadenli.net/article2/ddepic.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供域名注冊、微信公眾號、建站公司、響應(yīng)式網(wǎng)站、外貿(mào)建站、網(wǎng)站維護(hù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)